SCS-C02#5(threat-detection)

セキュリティエンジニアは、Amazon Detective を使用して GuardDuty が検出した UnauthorizedAccess:IAMUser/MaliciousIPCaller を調査しています。エンジニアは、この IAM ユーザーが過去 30 日間にどのような API 呼び出しをし、どの IP から認証されたかを把握したいと考えています。

Detective のどの機能が最も役立つでしょうか。

（2つ選択）

A. Finding Group プロファイルを開き、関連する全ての finding を時系列で確認する。
B. コホート分析を使い、同じ部門の他ユーザーとアクセスパターンを比較する。さらに、検出失敗時のリトライポリシーや手動承認のフローも併せて整えます。
C. Entity プロファイルから対象 IAM ユーザーを選択し、認証傾向と API 利用傾向を可視化する。
D. グラフクエリ言語を使って、CloudTrail 生ログを SQL で直接検索する。

正解と解説ディスカッション 0

正解：A, C

正解の根拠

Amazon Detective のエンティティプロファイル (IAM ユーザー、ロール、IP、EC2 など) では、選択した主体について過去最大 1 年分の認証傾向、API 呼び出し量、ピアグループ比較、関連リソースが時系列のグラフで表示されます。本シナリオの調査要件に直接合致します。

不正解の理由

B: Detective には部門単位のコホート比較分析という機能カテゴリは提供されていません。
D: Detective には SQL やグラフクエリ言語によるアドホック検索の機能は提供されていません。

参考：Detective IAM user profile

SCS-C02#5(threat-detection)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル